عامل‌های انسانی در امنیت اطلاعات/عامل‌های انسانی در امنیت الکترونیکی

دیدگاه تجاری

ویرایش

یکی از بزرگترین موانع مقابل امنیت الکترونیک، عوامل انسانی و سازمانی می‌باشند که باعث به وجود آمدن آسیب پذیری های اجتماعی و فنی در کامپیوترها و سیستم‌های اطلاعاتی یک سازمان می‌گردند. هدف از این بحث بررسی حساس ترین عوامل انسانی و سازمانی در مقابله با امنیت الکترونیک به منظور شناسایی روش های مورد استفاده برای توصیف این عوامل و همچنین بررسی تلاش های انجام شده برای از بین بردن و یا حل این مشکلات می‌باشد.

در اینجا مدلی از ریسک برای دسته‌بندی دارایی های مورد نیاز برای حفاظت در امنیت الکترونیکی ارایه می‌شود. این مدل به منظور اولویت‌بندی قسمت های حساس و بحرانی یک سازمان که نیاز به حفاظت بیشتری در برابر حملات بیرونی دارند ارایه می شود.

عامل های انسانی و سازمانی برای هر کدام از آسیب‌پذیری ها وجود دارد. مهمترین عامل‌های شناسایی شده عبارتند از: سیاست ها، آموزش، تعهد مدیریت، ارتباطات و بازخورد و فرهنگ. آسیب‌پذیری‌ها بر اساس سطوح حساسیت به سه دسته تقسیم می شوند. گروه اول شامل کنترل دسترسی، مدیریت وصله ها ( Patch Management ) و محافظت در برابر ویروس‌ها می باشد. گروه دوم شامل پشتیبان‌گیری، طراحی نرم‌افزارها، طبقه‌بندی دارایی‌ها و مدیریت رمزها است. گروه سوم شامل برنامه‌ریزی احتمالات، مدیریت محتوا، کنترل داده، معماری سازمانی و تحلیل لاگ تراکنش‌ها می باشد.

در خصوص عامل‌های انسانی و سازمان‌ها، مسائل و سوال‌های بسیار مطرح می گردد که برای نمونه می توان به موارد زیر اشاره کرد:

۱) پیاده سازی یک زبان مشترک امنیتی

۲) پذیرش فرهنگ امنیت در بین پرسنل بخصوص در لایه های پایین

۳) تعریف رفتارهای امن و نا امن پرسنل

۴) اشتباهات امنیتی که توسط پرسنل رخ می دهد

۵) عدم درگیری کافی مدیریت برای پیاده سازی موفق سیاستهای امنیتی

۶) بازگشت سرمایه در امنیت اطلاعات چیست؟

۷) عدم وجود مهارت مناسب فناوری اطلاعات در مدیران و در نتیجه عدم آگاهی کافی

با توجه به موارد بالا نیاز است که به سوالات زیر بتوانیم پاسخ دهیم:

۱) چگونه می توانیم یک ارزیابی امنیتی در مورد عوامل انسانی در امنیت الکترونیکی داشته باشیم؟ بازگشت سرمایه در امنیت اطلاعات چیست؟

۲) مسائل عمومی عامل‌های انسانی در امنیت الکترونیک چیست؟

۳) تجربه‌های موفق و دستورالعمل ها در خصوص عوامل انسانی در امنیت اطلاعات چیست؟

۴) اجزاء فرهنگ امنیتی چیست ؟


بازگشت سرمایه در امنیت اطلاعات شامل یک رویکرد ۵ مرحله‌ای به شرح زیر است:

۱- تعریف سیستم ها و موجودی آن ها: مشخص کردن دارایی‌هایی (مثلا اجزاء شبکه ، سرورها ، داده ها و ...) که در فرآیندهای تجاری حساس دخالت دارند. بعد از شناسایی این موارد باید ارزش و حساسیت آنها مشخص گردد.

۲- ارزیابی تهدیدها و آسیب‌پذیری ها: آزمایش سیستم در مقابل نقاط ضعف و دسته‌بندی و اولویت‌بندی آنها

۳- ارزیابی کنترل ها

۴- تصمیم‌گیری: در این مرحله هزینه انجام کنترلها در مقابل فرایندها، سیستم‌ها و اطلاعات مورد نیاز برای حفاظت ارزیابی می گردد. اثربخشی کنترلهای فنی و سازمانی نیز بررسی می گردد.

۵- ارتباطات و پایش: آگاهسازی کاربران و مدیریت در مرحله پیاده‌سازی


با بررسی دارایی های اطلاعاتی می توان زنجیره ارزشی مانند زیر برای آن متصور شد:

 


عوامل انسانی مرتبط با کنترل دسترسی را می توان به شرح زیر بیان کرد:

۱) آموزش: تفهیم و توجیه مسئولیت‌های پرسنل

۲) طراحی: درجه سختی کنترل سیستم

۳) فشارها: انواع فشارهای وارده از جاهای مختلف مثل مدیریت

۴) عدم وجود برنامه‌ریزی اتفاقات

عوامل انسانی مرتبط با کنترل داده ها به شرح ذیل است:

۱) کنترلهای ضعیف ورود به سیستم

۲) فرهنگ ایمنی

۳) آگاهی پرسنل

۴) رمزهای عبور

۵) طراحی ضعیف برنامه ها

۶) مدیریت وصله ها Patch Management

۷) آسیب پذیریهای پشتیبان گیری

۸) محافظت با آنتی ویروس‌ها (ویروس‌کش‌ها)

۹) تشخیص نفوذ

۱۰) تحلیل لاگ تراکنش ها

می توان به وضوح دریافت که در طول آسیب پذیری های زنجیره ارزش عامل‌های انسانی و سازمانی تاثیرات بسیار زیادی دارند.

اولین و مهمترین نکته که در حوزه فرهنگ می توان بیان کرد، وجود یک دیدگاه قوی امنیتی در طول زنجیره ارزش است. دوم اینکه هر فرآیند تجاری می‌بایست یک مسئول داشته باشد و فرآیندهای فناوری اطلاعات نیز از این قاعده مستثنی نیستند. مسئول هر فرآیند برای اندازه‌گیری اثربخشی فرآیند و تشخیص نقاط ضعف نیاز به پارامترهای تعریف شده دارند. هر المانی از زنجیره ارزش نیازمند یک سیاست تایید شده توسط مدیریت است که قدرت اجرا داشته باشد.

فرهنگ امنیتی ابعاد مختلفی دارد که می توان به صورت زیر آن را بیان کرد:

۱) مشارکت پرسنل : اگر در سطح پرسنل مقاومت وجود داشته باشد به سختی می توان سیاست‌های امنیتی را اجرا نمود. آگاهی پرسنل می تواند کمک شایانی به پیشبرد اهداف امنیتی سازمان نماید.

۲) دستورالعمل‌های استخدامی: مواردی مانند کنترل سوابق استخدامی شخص ، آموزش سیاست امنیتی به پرسنل جدید

۳) نظام انگیزشی: مکانیزمی برای پیشبرد فرهنگ امنیتی می تواند باشد.

۴) تعهد مدیریت: الزام و تعهد مدیریت به رعایت سیاست امنیتی در سازمان

۵) ارتباطات و بازخورد: می تواند به تکمیل و غنی شدن فرهنگ امنیتی کمک کند

۶) تحلیل مشکلات امنیتی

۷) امنیت فیزیکی: به پیاده‌سازی امنیت مجازی و اطلاعاتی کمک شایانی می کند

منابع

ویرایش
  • دریافت منبع
  • عنوان انگلیسی مقاله: Human Factors in E-Security – The Business Viewpoint